インターネットを利用した犯行予告･ウイルス供用事件の検証結果

平成24年12月
大阪府警察

本年7月29日、大阪市が管理するホームページに、無差別大量殺人を予告する書き込みがなされ、IPアドレス※1に対する捜査等を基に無実の市民を真犯人と誤って逮捕するという極めて遺憾な事案が発生した。
大阪府警察において、本件捜査の問題点について検証したところであるが、以下の反省・教訓事項が認められたことから、これを真摯に受け止め、再発防止に向けた所要の取組を推進していくこととしたい。
※1 IPアドレス
企業内ネットワーク、インターネット等のネットワーク上で相互に接続されているコンピュータ等を識別するために、そのコンピュータ個別に割り振られる番号。

平成24年7月30日、大阪市職員より、大阪府南警察署に対して、市が管理するインターネットホームページの相談窓口「市民の声」に、『無差別殺人予告』が書き込まれた旨の通報があり、本事案を認知した。
認知後、掲示板に書き込まれたIPアドレス等の捜査からA氏を割り出し、8月1日、A氏に任意同行を求め、パソコン等の任意提出を受けるとともに事情聴取を行った。翌2日には、A氏宅に対する捜索差押えを行い、A氏が使用していたパソコンの解析等の所要の捜査を実施した結果、8月25日に逮捕状を請求、翌26日、A氏を威力業務妨害罪で逮捕した。
A氏は、当初から一貫して関与を否定していたが、9月14日大阪地方検察庁は、A氏を偽計業務妨害罪で起訴した。
9月19日、三重県警察との情報交換により、A氏が使用していたパソコンから遠隔操作が可能なファイル(ウイルス)が発見されたことから、検察庁との協議の後、9月21日にA氏は釈放された。
さらに捜査を進め、A氏のパソコン内から発見されたファイル(ウイルス)の機能や真犯人を名乗る者からの犯行声明文の内容を精査した結果、A氏は犯人ではないと判断し、大阪地方検察庁は10月19日、A氏の起訴を取り消した。

ア 平成24年7月30日、大阪府南警察署(以下「南警察署」という。)に対する、「市のホームページ内に設けられた「市民の声」という相談窓口に無差別殺人予告が書き込まれた」との大阪市職員からの通報により本件を認知し、下記の書き込み内容(抜粋)から、インターネットを介した威力業務妨害事件と判断した。
【名前】●● ●●※2
※2 「●● ●●」には、A氏の漢字氏名及び振り仮名が書き込まれていた。
ただし、振り仮名は、実際のA氏の名の読みとは異なる。
【予告】来週の日曜日(8/5)ヲタロードで大量殺人する
【内容】午後2時頃歩行者天国にトラックで突っ込んで無差別にキモヲタどもを轢きまくります。
あと、ナイフで無差別に刺します。その後自殺します
かならず実行します。みなさんさようなら。

イ 南警察署は、主管所属である大阪府警察本部刑事部捜査第一課(以下「捜査第一課」という。)及び大阪府警察本部生活安全部生活安全総務課サイバー犯罪対策室(以下「サイバー対策室」という。)の支援を得て、同日から犯行予告場所を管轄する大阪府浪速警察署(以下「浪速警察署」という。)との間で、南警察署長指揮による合同捜査を開始した。

ア 捜査の結果、本件書き込み時のIPアドレスが判明するとともに、本件書き込みはA氏のモバイルルーターから行われたこと、また、モバイルルーター自体はパソコン等をインターネットに接続する機器であるが、複数のパソコン等を同時にインターネットに接続することができる機能等を有することが判明した。

イ 前記アのルーターの接続機能の特性から、A氏からの事情聴取が不可欠であると判断、8月1日、東京都練馬区内にいたA氏と接触し、警視庁荻窪警察署で事情聴取したところ、本件への関与を否定する一方、所持していたノートパソコン、ルーター等を任意提出したので確認したところ、ルーター等の設定は契約者情報どおりの状態であり、ルーター等の他人への貸与事実等も否定したので、本件書き込みはA氏のルーターに接続した機器から行われたと判断された。

ウ さらに捜査の結果、本件書き込みと同時間帯に、A氏のルーターに接続した機器から大阪市のホームページに対して、3件(本件書き込み分を含む)のアクセス事実があることが判明、同アクセス状況から犯人は、大阪市のトップページにアクセスした後、「市民の声」ページへ移動(アクセス)して本件書き込みを行い、送信したと認められた※3。
※3 大阪市のホームページには、「トップページ」や「市民の声」ページ等、複数のページがある。

エ ルーターへの接続機器を特定するため、A氏から提出を受けていたノートパソコンの解析を実施することとし、解析に先立ち、当府警に装備されたウイルス対策ソフトによるウイルスチェックを実施したが、ウイルスは検知されなかった。

オ パソコン等からインターネットを通じてウェブサイト等へアクセスした場合、1つのアクセスに対して複数の履歴が残るのが通常であるが、A氏のパソコン内には、大阪市のホームページへアクセスした際の履歴の一部しか残っておらず、意図的に履歴を消去(一部消去漏れ)したものと思われた。

カ 次に、パソコンの起動状況、ルーターの通信状況、書き込み時間の整合性を解析したところ、矛盾はなく、トップページへのアクセスから書き込み終了まで、本件書き込みを行うのに十分な時間があったことが確認された。

キ 以上捜査の結果、A氏はルーターにパソコンを接続し、大阪市のホームページへアクセスして本件書き込みを行い、その後アクセス履歴を消去(一部消去漏れ)したと推定した。

8月1日以降、8月26日の逮捕に至るまでの間、ポリグラフ検査を含め8回の任意取調べを実施したが、A氏は本件への関与を否定し続けた。

(ア) 犯行当日の行動についてA氏から聴取し、裏付け捜査を実施したところ、本件書き込み時間帯にA氏は自宅内に居り、パソコンをルーターに接続して通信していたと認められた。
(イ) 他方、ルーターへの接続(無線LAN※4)可能距離が最大、半径約100メートルであることが判明したので、第三者による犯行の可能性は否定できないものの、A氏が自宅内からルーターに接続したノートパソコンを使って本件書き込みを行ったとしても矛盾がないことが確認された。
※4 無線LAN
無線でデータ通信を行う構内網のこと。
「アクセスポイント」と呼ばれる中継機器を中心として、無線通信機能を有するコンピュータ等が相互接続されてネットワークが形成される。無線LANに接続されたコンピュータがインターネットに接続する際にはアクセスポイントを経由する。もし、アクセスポイントの設定に不備がある場合は、悪意のある者が設定の不備を悪用してインターネットに接続することが可能となる。

A氏は取調べに対し、第三者犯行説を主張していたことや前記イ-(イ)の観点から、想定される次の5つのケース
1「A氏のルーターを無断使用(無線LAN)し、第三者が別の機器で書き込んだ」ケース
2「A氏のパソコンを使用して、直接書き込んだ」ケース
3「「CSRF攻撃※5」で書き込んだ」ケース
※5 CSRF攻撃
クロスサイトリクエストフォージェリ(Cross site request forgeries)の略で、インターネット上のウェブサイトに対する攻撃手法の一つ。「地雷」とも呼ばれている。
悪意のある者が、この攻撃手法を悪用し、不正操作が仕組まれたウェブページを第三者に閲覧させることによって、第三者が意図せず別のウェブページに対して何らかの操作を行わせることが可能となる。
4「遠隔操作で書き込んだ」ケース
5「A氏のパソコン内に潜んでいた時限設定のウイルスが自動実行し、設定された時間に書き込んだ」ケース
について検討した。
その結果、
・1については、A氏のパソコン内にアクセス履歴が残存していること
・2については、犯行時間帯にA氏が在宅していたこと
・3については、犯行予告書き込みにA氏の氏名の一部が用いられていること
(注:メールに仕掛けられた場合を除き、CSRF攻撃の被利用者選定は偶然性に支配され、予め用意してある文面中の氏名と、実際の被利用者の氏名を一致させることは極めて困難である。)
・4については、犯行時間帯にIPアドレスの割り当て直しがされており、外部からのリアルタイムな遠隔捜査を継続させることが困難であること
・また、5も含め、ウイルス対策ソフト及び自動実行ファイルの確認結果等によれば、事前侵入したウイルスによる遠隔操作及び自動実行による犯行の可能性は窺えなかったこと
などから、第三者犯行の可能性は低いと判断された。

真犯人が本名で書き込みを行う例は稀であり、疑問点として浮上したが、既述のとおり書き込みに係る履歴が消去された形跡があり、一部が消去漏れと認められたことから、犯人は履歴を消去し完全に証拠隠滅したと考えていると推測された。また、この種事件の犯人は愉快犯、自己の能力の誇示、警察に対する挑戦といった動機等から犯行を行う例が見られることから、他の捜査結果等を踏まえると、特に不自然ではないと判断した。

解析の最終作業として、
1 パソコンの内部構成を、押収した時点の状態のまま起動させ、動作しているプログラム等を確認する
2 システムの自動バックアップ機能を利用して、パソコンの内部構成を、本件犯行時点に近い8月1日午前5時頃の状態に戻して起動させ、同様に動作しているプログラム等を確認する
という作業を行ったが、いずれの場合も不正なプログラムの動作は確認されなかった。

これまでの捜査結果等を踏まえ、A氏の嫌疑性や逮捕の必要性について下記のとおり検討して、大阪地方検察庁とも協議のうえ強制捜査に着手することを決定し、8月26日、A氏を通常逮捕するとともに関係先の捜索差押えを実施した。

これまでの捜査により
ア 本件書き込みは、IPアドレスに基づく捜査、ルーターに関する捜査、大阪市サーバの保存記録の捜査、ノートパソコン内の履歴の解析、A氏の行動に関する供述等から、A氏が自宅において、ノートパソコンをルーターに接続した上、インターネット回線を通じて大阪市のホームページへアクセスして書き込んだと判断して、何ら矛盾がないこと。

イ A氏主張の第三者犯行説について想定される5つのケースを検討したが、第三者犯行は困難と認められたこと。

ウ ウイルス等については、A氏のパソコンには最新のウイルス対策ソフトが導入され正常に機能していたが、ウイルスが検知されておらず、また、押収後の解析において当府警装備の最新ウイルス対策ソフトによるスキャンでもウイルスが検知されなかったことから、パソコン内にウイルスは蔵置されていなかったと認められること。

エ ウイルス対策ソフトでも検知されない未知のウイルスの存在を想定し、自動実行ファイルの確認を行ったが、不審点が発見されなかったこと。

オ パソコン内に本件書き込みに係る履歴の一部が残っていることから、A氏による書き込みと判断されること。

カ 本件への関与を否定しているA氏のパソコン内より、本件書き込みに係る履歴の一部が削除されている事実と、A氏の供述が矛盾することから、証拠隠滅を図ったと認められること。

キ A氏の供述や主張に基づき各種裏付け捜査を実施したが、関与を否定する事実が発見されなかったこと。
などから、本件はA氏による犯行と判断した。

8月1日から継続的にA氏の取調べを行うなどして、任意捜査を実施してきたが、
ア 本件書き込みに係る履歴の消去は確認されているが、A氏が関与を否定しているため消去に使用したソフトが未解明であり、また、消去の方法等も不明であること。

イ A氏は本件への関与を完全否定しており、本件書き込みの手段･方法が未解明であること。
などから、これらの点を任意捜査で追及、解明を図ろうとすれば、罪証隠滅されるおそれがあり、また、単身居住であるため、捜査の進展状況によっては逃走を図るおそれも考えられたことから、事件の全容を解明するためには、A氏を逮捕した上で取調べる必要があると判断した。

A氏から、本件犯行を認める供述は得られなかったものの、これまでの接続機器等の解析結果や裏付け捜査結果などから、A氏を本件書き込みの犯人として矛盾はなく、また、A氏以外には本件書き込みをなし得ないと判断した。

以上の捜査結果等を踏まえ、A氏は9月14日、大阪地方検察庁より、偽計業務妨害罪で起訴された。

(1) 起訴から4日後の9月18日、伊勢神宮等に対する犯行予告事件で男性を逮捕していた三重県警察から捜査協力の依頼があり、翌19日、本件捜査に従事した当府警サイバー対策室員が三重県警察を訪問し、逮捕男性のハードディスク等を起動したところ、起動中にエラー画面が表示される等、不審な状況を確認した。

(2) 当該エラー画面を確認すると、「iesys.exe」という名称のファイルが自動実行していることを確認したが、同ファイルは、本件(大阪事件)捜査過程で、8月1日午前5時時点の状態のパソコン内に存在した「iesys.exe｣と同じファイル名であったことから、同日付で三重県警察から警察庁情報通信局情報技術解析課(以下「警察庁情報技術解析課」という。)に対し、解析の口頭依頼がなされた。

(3) 帰阪後、A氏のパソコンを再確認したところ、「iesys.exe」という名称のファイルが存在することが再確認され、詳細に解析したところ、「iesys.exe」と関連するファイル内に外部の掲示板への接続を指示していると思われるURLの記載があり、三重県警察押収に係るパソコンを起動した際に同ファイルが自動実行していたことを考え合わせると、遠隔操作ウイルスである可能性が浮上した。

(4) 9月20日、三重県警察との情報交換により、三重県警察において警察庁情報技術解析課から、「iesys.exe」は外部のサーバ等へ接続するおそれがある旨の連絡を受けたことが判明し、当府警察においても、「iesye.exe｣が遠隔操作ウイルスの可能性があると判断、大阪地方検察庁へ通報し、A氏は翌21日、釈放された。

A氏の供述の掘り下げが十分でなかった。
(1) A氏は、本件への関与は否認するものの、具体的な反論内容ではなかった(本件に関与していないので、反論が具体的でなかったのは当然のことである。)。一方、A氏の供述と相反する本件関与への客観的証拠はパソコンの解析結果から得たものであり、犯人性の立証の大きな柱としたことからA氏の供述に対する掘り下げが十分に行われたとは言えず、供述の吟味が足りなかった。

(2) 収集した客観的証拠から犯人と判断したが、この種の高度なネットワーク犯罪においては、犯罪の手段･方法が日々変化･複雑化している現状から、犯人性認定における当該客観的証拠の意味・内容を一層慎重に検討した上で捜査を進めるべきであった。

(1) 不正プログラムを発見する最も確実な方法は、コンピュータ内に存在する全てのファイル(復元可能な削除ファイルを含む。以下同じ)を解析することであるが、そのためにはより高度な技術力のほか、長期に亘る解析期間が必要となり、一都道府県警察レベルにおいては実質的に困難であった。

(2) 全てのファイルを解析することが困難であったことから、解析能力を有する捜査員が専従して、A氏が自らインストールしたソフトウェアなど解析対象範囲を絞りこんだ解析を行ったが、不正プログラムを発見することができなかった。

(3) 本事案は、サイバー犯罪対策部門において不正プログラム等の発見、解析を実施していたが、より多角的な解析の実施について、解析能力を有する近畿管区警察局大阪府情報通信部や情報管理課と緊密に連携して組織全体としての取組を考慮すべきであった。
なお、サイバー犯罪対策部門としては、解析能力を有する捜査員を複数投入して、より多角的に解析することも検討したが、解析資機材の数量不足のため実施に至らなかった。

A氏に対する取調べについて、犯人と決め付けられ利益誘導されるなどして自白を強要された旨の報道がなされたことから、取調べに問題がなかったか否かについて調査した。
取調べ官から聴取したところ、「いずれの取調べにおいても、取調べを始める際には供述拒否権を告知した。」、「客観的証拠による立証に重点を置き、淡々と取調べを行った。」、「客観的証拠については申し向けたが、自白を強要したり利益誘導したような事実はない。」とのことであり、その他の調査結果からも不適正な取調べは確認できなかった。

本件事案では、IPアドレス等の客観証拠の精査を捜査の柱とし、A氏のアリバイ捜査を行う等、捜査を進めたが、高度なネットワーク犯罪に対する捜査力が十分ではなく、結果として犯人ではないA氏を逮捕するという遺憾な事態に至ってしまった。
ネットワーク関連犯罪については、今後、この種犯罪に対応する組織、関係部門との協力体制を一層強化し、高度な知識を有する捜査員の育成が急務であるとともに、巧妙、高度化する同種犯罪には、全国的な組織的対応、支援ができる仕組みが不可欠であると痛感した。
大阪府警察においては、本事案を教訓とし、事件ごとの特性を踏まえた捜査方針の樹立及び事件指揮並びに証拠と犯人との結び付き等、あらゆる可能性を考慮して、慎重を期した捜査を徹底するとともに、本検証に当たって得られた再発防止対策を推進して、二度と同じ過ちを繰り返さぬよう緻密な捜査を展開して、事案の真相を解明するという警察の使命を果たすための不断の努力をもって、警察捜査に対する信頼回復を図っていく所存である。

以上